SleepyDuck olarak adlandırılan ve Open VSX açık kaynak kayıt defterinde iyi bilinen Solidity uzantısı olarak gizlenen bir uzaktan erişim truva atı, saldırganla bir iletişim kanalı oluşturmak için Ethereum akıllı sözleşmesi kullanır.
Open VSX, Cursor ve Windsurf gibi yapay zeka destekli entegre geliştirme ortamlarında (IDE'ler) popüler olan VS Code ile uyumlu uzantılara yönelik topluluk odaklı bir kayıt defteridir.
Uzantı, platformdan gelen bir uyarıya rağmen hala Open VSX'te 'juan-bianco.solidity-vlang' olarak mevcut ve 53.000'den fazla indirildi.
İlk olarak 31 Ekim'de gönderildiğinde, uzantı zararsızdı ve indirme sayısının 14.000'e ulaştığı ertesi gün yapılan bir güncellemeyle kötü amaçlı özellikler kazandı.
Uzantı güvenlik platformu Secure Annex'in bir raporuna göre, SleepyDuck'ın dikkate değer bir özelliği, komuta ve kontrol (C2) sunucu adresini güncellemek ve uzun vadeli kalıcılık elde etmek için Ethereum sözleşmelerinin kullanılmasıdır.
Sleepyduck[.]xyz'deki varsayılan C2 sunucusu kapatılsa bile Ethereum blockchain üzerindeki sözleşme, kötü amaçlı yazılımın işlevsel kalmasına izin verir.
Juan-bianco.solidity-vlang paketi, 0.0.7 sürümüyle Open VSX'e sunulmasından bu yana ve 2 Kasım'da yayınlanan 0.1.3 sürümüne kadar 53.439 kez indirildi ve yazarından yalnızca bir 5 yıldız derecelendirmesi aldı.
Şunu belirtmek gerekir ki malik'in yazarı
Kötü amaçlı kod, editör başlatıldığında, bir Solidity dosyası açıldığında veya kullanıcı Solidity derleme komutunu çalıştırdığında etkinleşir.
Etkinleştirme üzerine, her ana bilgisayar için bir kez çalıştırılacak bir kilit dosyası oluşturur ve yasal görünmesini sağlamak için 'extension.js'den sahte bir 'webpack.init()' işlevini çağırır, ancak gerçekte kötü amaçlı bir yük yükler.
Secure Annex'e göre SleepyDuck'taki kötü amaçlı bileşen, sistem verilerini (ana bilgisayar adı, kullanıcı adı, MAC adresi ve saat dilimi) topluyor ve bir komut yürütme sanal alanı oluşturuyor.
Araştırmacılar, kötü amaçlı yazılımın başlatıldığında C2 bilgileriyle akıllı sözleşmeyi okumak için en hızlı Ethereum RPC sağlayıcısını bulduğunu, bir uyku örneği başlattığını, geçerli geçerli bir yapılandırmayla güncelleme yaptığını ve bir yoklama döngüsü başlattığını söylüyor.
Ethereum blok zinciri, C2 yedekliliği için kullanılır; dolayısıyla, birincil komut sunucusu çevrimdışı duruma gelirse, kötü amaçlı yazılım, yeni bir C2 sunucu adresi veya değiştirilmiş iletişim aralıkları da dahil olmak üzere güncellenmiş talimatları doğrudan blok zincirden okur.
Araştırmacılar ayrıca yoklama fonksiyonunun bir POST isteğinde sistem hakkında veri göndereceğini ve "yanıttan yürütülecek bir komut arayacağını" söylüyor.
Open VSX'in artan popülaritesi onu bilgisayar korsanlarının radarına yerleştirdi ve şüphelenmeyen geliştiricileri hedef alan çok sayıda kötü amaçlı gönderim aldı.
Platform yakın zamanda kullanıcıları için daha güvenli hale getirmek amacıyla, jeton yaşam sürelerinin kısaltılması, sızdırılan kimlik bilgilerinin hızlı bir şekilde iptal edilmesi, otomatik taramalar ve ortaya çıkan tehditlerle ilgili önemli bilgilerin VS Code ile paylaşılması da dahil olmak üzere bir dizi güvenlik geliştirmesini duyurdu.
Yazılım geliştiricileri, VS Code uzantılarını indirirken dikkatli olmalı ve yalnızca saygın yayıncılara ve onların resmi depolarına güvenmelidir.
Bütçe mevsimi! 300'den fazla CISO ve güvenlik lideri, önümüzdeki yıl için nasıl planlama, harcama ve önceliklendirme yaptıklarını paylaştı. Bu rapor onların içgörülerini derleyerek okuyucuların stratejileri karşılaştırmasına, ortaya çıkan trendleri belirlemesine ve 2026'ya girerken önceliklerini karşılaştırmasına olanak tanıyor.
Üst düzey liderlerin yatırımı nasıl ölçülebilir etkiye dönüştürdüğünü öğrenin.
Kendi kendine yayılan GlassWorm kötü amaçlı yazılımı OpenVSX ve VS Code kayıt defterlerine saldırıyor
Kötü amaçlı kripto hırsızlığı yapan VSCode uzantıları OpenVSX'te yeniden ortaya çıkıyor
Google Play'deki kötü amaçlı Android uygulamaları 42 milyon kez indirildi
Modern Güvenlik Araçlarını Aşan En İyi 3 Tarayıcı Sandbox Tehdidi
Rus bilgisayar korsanları, Linux sanal makinelerinde kötü amaçlı yazılımları gizlemek için Hyper-V'yi kötüye kullanıyor
Kaynak: Bleeping Computer